Однако спам используется и теми, кто рекламирует незаконную продукцию или услуги. Используя технологию спама, рассылаются вирусы и «нигерийские» письма. Спамом заманивают пользователей в ловушку фишеры и другие мошенники. Их деятельность наносит серьезный урон, но найти и призвать к ответу таких злоумышленников сложнее, чем рассылающих рекламу.
Хотя спам как явление относят к электронной почте, его можно встретить в ICQ, IRC-чатах, на форумах, блогах, а также в виде SMS-сообщений.
Методы, используемые спамерами
Для обычного пользователя электронная почта начинается с почтового клиента, в котором он набирает письмо и отправляет его, нажав соответствующую кнопку. Все остальное – процесс формирования правильного заголовка, отправка и получения – остается за кадром. Спамеры разбираются в системе электронной почты и используют ее недостатки, а иногда и достоинства в своих целях.
Процесс начинается с получения списка действующих почтовых адресов. Здесь возможно несколько вариантов. Например, используя специальные программы, называемые грабберами, спамеры собирают адреса с веб-страниц сайтов, конференций, чатов, гостевых книг, списков-рассылок и прочих ресурсов. Такая программа-робот способна за короткое время собрать тысячи адресов и создать из них базу данных для дальнейшей рассылки спама.
Возможен обратный вариант: используя специальные словари, программы пытаются угадать электронные адреса. В этом случае сначала из специального словаря берутся популярные английские слова, имена людей, географические и прочие названия, затем к слову добавляется известный почтовый домен и с помощью специальной программы проверяется существование почтового ящика. Ничего сложного здесь нет. Если попытаться послать письмо пользователю, которого нет на почтовом сервере, сервер откажет в приеме сообщения, сославшись на то, что передавать письмо дальше некому. Этот адрес спамер вычеркивает.
Для примера смотрим заголовок Кому в спамерском сообщении, пришедшем на мой адрес: [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected] и т. д. Всего я насчитал 25 вариантов. Зарегистрировав адрес вида [email protected], вы даже при его аккуратном использовании через некоторое время начнете получать спам.
Есть другие уловки, применяемые спамерами, чтобы убедиться, что их сообщение прочитано. Среди них следующие:
• запрос подтверждения о доставке, которое некоторые почтовые клиенты отправляют автоматически;
• использование изображений, как правило, незаметных пользователю и небольшого размера, автоматически загружаемых при открытии письма с сайтов, контролируемых спамерами.
Некоторые почтовые клиенты, например Mozilla Thunderbird, автоматически запрещают загрузку изображений из Интернета (рис. 8.1).
Рис. 8.1. Сообщение о блокировке изображения
Чтобы загрузить изображение, необходимо нажать кнопку Показать изображения.
Нередко спамерам помогают сами пользователи, щелкая на ссылках в таких письмах или пытаясь отменить рассылку, послав письмо по указанному в письме почтовому адресу. Как только спамеры получают подтверждение, что почтовый адрес используется, поток спама на него может многократно увеличиться. Причем часто люди, которые занимаются сбором адресов, необязательно сами рассылают спам. Базы адресов являются востребованным товаром, и их часто продают заинтересованным лицам.
Для отправки спама могут использоваться open relay SMTP-серверы, которые не требуют аутендификации пользователя при отправке почты или с простой аутендификацией, которую могут выполнить программы-роботы. Такие серверы создают специально или находят неправильно настроенный администратором общедоступный сервер. Для массовых рассылок спама с использованием троянцев создаются целые зомби-сети.
8.2. Способы борьбы со спамом
Если полистать подшивки журналов конца 1990-х – начала 2000-х годов, можно обнаружить, что статей, описывающих борьбу со спамом, в них нет. Пик спамерской активности приходится на 2002–2003 годы. В это же время началась активная разработка систем защиты.
Простые шаги противодействия спаму
Мероприятия по борьбе со спамом можно разделить на организационные и технические. Начнем с первых.
Чтобы не «засветить» свой почтовый ящик, придерживайтесь следующих советов.
• Хотя ваш провайдер дал вам адрес электронной почты, обязательно заведите себе почтовый ящик на одном из бесплатных серверов. Этот адрес можно безболезненно использовать для публикации в открытых источниках: при регистрации на форумах, для рассылок, при общении с незнакомыми людьми и в прочих ситуациях, когда нужно будет указать адрес электронной почты.
• Свой основной адрес электронной почты сообщайте только хорошим знакомым.
• Используйте адрес, состоящий из букв и цифр (например вместо grinder можно написать gr1nder, то есть вместо буквы i можно применять цифру 1, вместо буквы «о» – цифру 0) либо составные слова. На экране такие адреса читаются без труда, запомнить их легко, тем более что большинство пользователей просто занесут ваш адрес в адресную книгу почтового клиента. Подобрать такой адрес непросто, и их обладатели получают на порядок меньше нежелательной почты.
• Оставляя на форуме даже свой неосновной адрес, обязательно маскируйте его так, чтобы человек понял, а робот нет. Вариантами могут быть grinder (at) ua.fm, [email protected].
• Часто в форме, выводимой при регистрации программного продукта или услуги, установлен флажок вроде Да, я хочу получать сообщения при…. Обязательно обращайте внимание на наличие подобных пунктов и снимайте эти флажки, если не хотите, чтобы с вами в дальнейшем связывались по электронной почте.
При получении спама часто возникает желание написать этому плохому человеку, в двух (возможно, и в трех) предложениях объяснив, что вы о нем думаете. Не делайте этого. Спамер только и ждет, чтобы вы ему ответили, и как только он узнает, что ящик работает, поток писем увеличится. Спам рассылается не для того, чтобы прочитать ответ получателя. Задача спамера – сделать так, чтобы максимальное количество писем было доставлено по назначению. Чтобы обойти спам-фильтры и обмануть получателя, в поле От письма может стоять адрес человека, непричастного к рассылке спама. Вот пример заголовка одного из спам-сообщения, пришедшего на мой адрес.
Received: from smtp20.orange.fr ([80.12.242.26]
helo=smtp-msa-out20.orange.fr)
by top.trumo.net with esmtp (Exim 4.43)
id 1GkGdY-0003xD-DH
for gr[email protected]; Wed, 15 Nov 2007 11:00:52 +0200
Received: from SRVLAN (LSt-Amand-152-32-1-246.w82-127.abo.
wanadoo.fr [82.127.16.246])
by mwinf2004.orange.fr (SMTP Server) with SMTP id
70EC11C00085;
Wed, 15 Nov 2006 10:00:43 +0100 (CET)
X-ME-UUID: [email protected]
Message-ID: <[email protected]>
From: «=?windows-1251?B?UmljaGFyZA==?=» <[email protected]>
Как видно из поля Received, письмо было отправлено из домена orange.fr, а в поле From указан почтовый адрес пользователя [email protected], принадлежащий интернет-провайдеру «Гудвин Онлайн», который не имеет к письму никакого отношения. Не удивляйтесь, если в один прекрасный день вы получите письмо от самого себя. Дело здесь обычно не в вирусе (хотя стопроцентной гарантии нет): вполне вероятно, что распространители нежелательных сообщений подделали заголовок письма, включив в него ваш адрес электронной почты.
Для отправки сообщений стандартом de facto стал протокол SMTP – простой протокол передачи почты (Simple Mail Transfer Protocol). Он в самом деле прост. Главная его цель – максимальная надежность, а не удобство. Общение почтового клиента и SMTP-сервера напоминает разговор двух людей в чате короткими фразами. В процессе такого общения сервер спрашивает, от чьего имени посылается почта. Это ему нужно не сколько чтобы вставить данные в поле От, сколько для отправки уведомления о невозможности доставки письма. Подтверждения, что адрес принадлежит именно вам, вводить не требуется. Этим и пользуются спамеры. Поэтому не удивляйтесь, если на ваш почтовый адрес будут приходить ответы сервера о недоставленной почте, которую вы никогда не отправляли. Это означает, что кто-то пользуется вашим адресом при рассылке спама.
С нежелательными сообщениями следует придерживаться следующих правил.
С нежелательными сообщениями следует придерживаться следующих правил.
• Никогда не отвечайте на спам, не переходите по содержащимся в нем ссылкам, не отписывайтесь от спама и тем более не пересылайте его по цепочке. Сделав это, вы только подтвердите, что пользуетесь своим электронным адресом.
• Никогда не покупайте рекламируемый товар. Спам держится, пока он экономически оправдан. Нет покупок – нет спама.
• Удалите письмо, не открывая. Не рекомендуется использовать функции предварительного просмотра в почтовом клиенте. При выборе спамерского письма при этой включенной функции вы фактически прочитаете его.
Никогда не отвечайте «разъяренным пользователям», которые обвиняют вас в рассылке спама: это тоже может быть уловкой спамеров.
Совет
Для отключения предварительного просмотра писем в почтовом клиенте The Bat! следует выполнить команду Вид → Автопросмотр писем или нажать сочетание клавиш Shift+Ctrl+E. В Mozilla Thunderbird – выполнить команду Вид → Разбивка окна → Область просмотра сообщений или нажать клавишу F8.
Принципы фильтрации
Спам стал все более досаждать пользователям и администраторам, которые отвечают за лишний трафик, и программные решения и применяемые технологии, предназначенные для борьбы со спамом, начали совершенствоваться. Чтобы разобраться в удобстве и эффективности предлагаемых сегодня продуктов, требуется хотя бы в общих чертах ознакомиться с принципами, используемыми при фильтрации спама.
До того как спам попадет в почтовый ящик пользователя, его можно отсеять как минимум в двух пунктах.
• На старте. При попытке отправить сообщение, например, ограничивая количество писем, отправляемых за минуту с одного адреса, заставляя пользователя подтверждать себя, закрывая доступ к внешним почтовым серверам. Здесь действуют в основном провайдеры, которые не хотят получать жалобы или попасть в «черные» списки.
• В конце пути. Блокирование приема почты из определенных доменов, использование различных эвристических анализаторов. Эти методы более эффективны, но процент ошибок у них выше.
В программных средствах могут использоваться два различных подхода, позволяющие распознать спам. Первый заключается в попытке распознать отправителя как спамера. Для этого адреса известных open relay-серверов и диапазоны адресов модемных соединений, на которых не может быть SMTP-серверов, заносятся в «черные» списки. Такие списки можно составлять самому. Существуют также специальные организации, занимающиеся этим в реальном времени – Real-time Blackhole Lists.
При всей простоте метода у него есть недостатки. Спамеры меняют адреса быстрее, чем их заносят в «черные» списки. В такие списки могут также попасть вполне легальные сервисы – как по ошибке, так и от злого умысла. Альтернативой «черных» списков являются «белые», которые больше подходят для конкретной системы, хотя их использование возможно и на сервере. Суть проста: пропускаются только письма с известными программе адресами, например записанными в Адресной книге. Как правило, в этот список автоматически заносятся те, кому пользователь отправил сообщение. Недостаток один: если знакомый захочет написать вам с другого адреса, его письмо не дойдет.
«Белый» и «черный» вместе – это «серый». Истина всегда посередине, и метод основан на различии в поведении обычного SMTP-сервера, отвечающего за отправку писем, и программ для рассылки спама. Все неизвестные серверы или отправители изначально заносятся в «серый» список. При первой попытке послать сообщение отправителю высылается код временной ошибки. Если по истечении некоторого времени он повторяет попытку, сообщение принимается, а отправитель заносится в «белый» список. Спамерские программы либо не умеют повторно отправлять сообщение, либо делают это через другой промежуточный сервер или адрес, что выглядит как другое сообщение, либо успевают за это время попасть в известные списки, поэтому данный метод считается одним из самых эффективных и позволяет отсеивать до 90 % спама. Однако он тоже не лишен недостатков: увеличивается время доставки корреспонденции, а серверы, не выполняющие рекомендации протокола SMTP или имеющие несколько адресов, могут быть приняты за спамерские. Кроме того, спамерские программы постоянно совершенствуются, и включить в них функцию повторной пересылки корреспонденции несложно, что фактически может обесценить данный метод защиты.
Вторым вариантом борьбы со спамом является использование статистических алгоритмов, анализирующих заголовок и тело сообщения, в результате чего делается вывод о том, спам это или нет. Данный метод чаще всего применяется в конце пути – на сервере и клиентском компьютере. Его недостатком является необходимость предварительного обучения фильтров, то есть первоначально нужно использовать рассортированные вручную нормальные письма и спам. Эта технология рассмотрена в главе 5 при описании настроек модуля Анти-Спам программы Kaspersky Internet Security. После обучения удается отсечь до 95–97 % спама.
Существуют другие технологии, анализирующие изображения и заголовок. Отправителю полезного сообщения незачем скрывать свой реальный почтовый адрес и используемую почтовую программу. Он также не будет использовать специальные программы, которые изменяют идентификатор сообщения и путь его прохождения через почтовые серверы.
Борьба со спамом имеет и негативные последствия. Появляются предложения сделать электронную почту платной, и хотя они пока не нашли большой поддержки, кто знает, что произойдет в будущем. По разным подсчетам, в антиспам-фильтрах сегодня остается около 1 % нормальных писем, и это притом, что электронная почта гарантирует стопроцентную доставку сообщений. Хорошим тоном стало подтверждение получения письма: «Письмо получил, прочитаю, отвечу».
8.3. Подручные средства
Программы для борьбы с нежелательными почтовыми сообщениями, ориентированные на конечного пользователя, могут быть реализованы в виде плагинов к известным почтовым клиентам или самостоятельных решений. Одни приложения позволяют удалять спам прямо с почтового сервера, экономя время пользователя и трафик. При работе они анализируют только заголовки писем, поэтому не отличаются высокой точностью. Другие программы загружают письмо полностью и если обнаруживают, что это спам, помечают его особым образом. Используя созданное правило сортировки, помеченные письма в почтовом клиенте можно складывать в отдельную папку.
Такие программы экономят только время пользователя, которое он мог бы затратить на сортировку писем вручную. Некоторые почтовые клиенты изначально поставляются с модулями, предназначенными для борьбы со спамом. Как правило, они используют анализатор, требующий полной закачки письма.
Сортировка писем вручную
Если спама в ящике немного, его можно удалять вручную, первоначально загружая только заголовки писем, а затем отбирая нужные сообщения. Так, в почтовом клиенте The Bat! для загрузки заголовков выполните команду меню Ящик → Диспетчер писем → Только для новых писем или нажмите сочетание клавиш Ctrl+F2. В появившемся Диспетчере писем (рис. 8.2) напротив писем, которые нужно загрузить, установите флажок Получить, а ненужные отметьте флажком Удалить. Чтобы диспетчер выполнил команду, выберите в меню Письмо пункт Начать передачу или нажмите клавишу F2.
Рис. 8.2. Диспетчер писем The Bat!
В другом почтовом клиенте, Mozilla Thunderbird, необходимо выполнить команду Инструменты → Параметры учетной записи, в настройках нужной учетной записи нажать кнопку Параметры сервера и установить флажок Загружать только заголовки сообщений. Теперь при нажатии кнопки Получить будут загружены только заголовки писем и, щелкнув на заголовке, вы сможете определить, нужно ли получать письмо (рис. 8.3). Если нужно, дважды щелкните на заголовке или на ссылке Здесь в окне просмотра. Если письмо является спамом, можно выполнить следующие действия:
• нажав кнопку Удалить, удалить письмо;
• выполнив команду контекстного меню Отметить → Как спам → Запустить анти-спам фильтры, обучить антиспам-фильтр.
Рис. 8.3. Загрузка заголовков писем в Mozilla Thunderbird
Работа с антиспам-фильтрами почтовых клиентов
Существует большое количество сторонних программ, однако фильтрацией спама можно заниматься, используя поставляемые с почтовым клиентом модули. Работа с ними может показаться не совсем удобной и интуитивной, но зато они стабильны, не вызывают противоречий, всегда под рукой и изначально готовы к тому, чтобы что-то отфильтровать, чем стоит воспользоваться.